המדינה דורשת ממפעלים בסיכון גבוה להתמגן מהאקרים

המשרד להגנת הסביבה ידרוש כבר בחודשים הקרובים מכ-60 מפעלים שמוגדרים בסיכון גבוה להשקיע מיליונים במיגון מפני תקיפות סייבר • מפעל שלא ייערך, לא יקבל היתר רעלים • בכיר במשרד להגנת הסביבה: "בשנה האחרונה אירעו שבעה ניסיונות לתקוף מפעל כימי גדול"

בית זיקוק של חברת Suncor בקנדה/  צילום: Chris Helgren / רויטרס
בית זיקוק של חברת Suncor בקנדה/ צילום: Chris Helgren / רויטרס

המשרד להגנת הסביבה ומערך הסייבור הלאומי מוטרדים מאוד מהתרחיש הבא: מערכות הבקרה של מפעל כימי גדול שמחזיק מלאי חומרים דליקים או רעלים מסוכנים, מותקפות על-ידי האקרים שנמצאים בקצה השני של העולם; הם משבשים את אמצעי הבקרה שאמורים להתריע על תקלה, הלחצים בצנרת ההולכה הפנימית של המפעל עולים בפתאומיות, מערכות הקירור מושבתות, הטמפרטורות במערכות אחרות עולות - והמפעל הופך לפצצה מתקתקת.

איום הסייבר שהופך מוחשי יותר ויותר, הניע את משרדי הממשלה לפעולה - רגולציה חדשה שתושת בקרוב על התעשייה הישראלית. המדינה מתכוונת עוד השנה להקשיח את הפיקוח על היערכות התעשייה הכבדה לקראת מתקפות רשת הרסניות, ולחייב מפעלים רבים להטמיע מערכות ואמצעים לגילוי ונטרול מתקפות סייבר בזמן אמת.

הסכנה הגדולה בפיגוע סייבר מהסוג הזה היא פגיעה נרחבת בשלום הציבור ובסביבה באמצעות גרימה לדליפות מכוונות של שפכים רעילים שיזהמו את הקרקע או את מי התהום; פיזור של חומרים רעילים וגזים מסוכנים לאוויר; שריפה של חומרים מסוכנים; שפך חומרים רעילים למאגר מים או למערכות ניקוז מרכזיות ועוד.

מנכל המשרד להגנת הסביבה / צילום: אוריה תדמור
 מנכל המשרד להגנת הסביבה / צילום: אוריה תדמור

"כבר היו ניסיונות כאלה, ורק בשנה האחרונה אירעו שבעה ניסיונות לתקוף מפעל כימי גדול בישראל שנמצא בקרבת שכונת מגורים, ולא רחוק ממנו יש בית ספר", אמר לגלובס מנהל היחידה להגנה על מידע וסייבר בתעשייה במשרד להגנת הסביבה, יעקב דולמצקי והוסיף כי "למתקפת סייבר יש פוטנציאל להסב נזק משמעותי יותר מזה שנגרם באירוע רגיל דליפת חומרים מסוכנים, בעקבות תאונה למשל".

היעד הסופי: מיגון 4,000 מפעלים

על פי התכנית המתגבשת, האכיפה בנושא תחל בחודשים הקרובים בכ-60 מפעלים שמוגדרים בעלי סיכון גבוה. הכוונה היא למפעלים המחזיקים בהיתר להחזקת חומרים רעילים או חומרים נפיצים ומסוכנים שדרושים לתהליכי פעילות היצור השוטפת שלהם.

במשרד להגנת הסביבה מסרבים לפרט על אילו מפעלים מדובר, אך על פי הערכות מדובר במפעלים ביטחוניים; בתי זיקוק; תעשיות כימיות ועוד. פעילויות בתחומים אלה נעשות לרוב במפרץ חיפה, באזור התעשייה באשדוד, באזור התעשייה נאות חובב שבנגב ובמקומות רבים נוספים ברחבי הארץ.

את הרגולציה החדשה בנושא עתיד להוביל צוות מהיחידה להגנה על מידע וסייבר של המשרד, וזאת במסגרת המהלכים השוטפים שמקיים המשרד מול התעשייה מתוקף היתרי הרעלים שהוא מספקם למפעלים.

ההחלטה להרחיב את הפיקוח על התעשייה מחשש לתקיפות סייבר התקבלה בממשלה כבר בחודש פברואר 2015, תחת הכותרת "קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר". עוד הוחלט כי כי יישום התכנית יעשה דרך מערך הרגולציה הממשלתי הקיים.

לקראת יישום החלטת הממשלה, המשרד להגנת הסביבה גיבש תכנית רב שנתית והקים בשנה האחרונה יחידה ייעודית להגנה על מידע וסייבר בתעשייה.

לפי התכנית, בסופו של דבר 4,000 מפעלים בכל רחבי הארץ יידרשו להטמיע מערכות הגנה מפני תקיפות סייבר.

"אנחנו פועלים על פי תורת ההגנה שגיבש מערך הסייבר ועל פי ההנחיות שמתקבלות ממנו", אמר מנהל היחידה דולמצקי בשיחה עם גלובס, והוסיף: "נרחיב את הפיקוח בכל שנה לעוד ועוד מפעלים בהתאם למידת המסוכנות שהם מהווים, נתחיל עם המסוכנים ביותר, שכן מדובר בכ-60 שנמצאים בכחל רחבי הארץ".

"האיומים הולכים ומתגברים"

מפעלים שיהיו כפופים לפיקוח החדש יידרשו למנות מטעמם בעל תפקיד שיהיה אמון על קבלת הנחיות מיחידת הסייבר של המשרד להגנת הסביבה, לפעול לניטור המערכות השונות, לעדכן את תוכנות ההגנה ועוד. כל מפעל כזה יידרש גם לבצע מיפויים של מערכות ממוחשבות שמקושרות למלאים של חומרים מסוכנים.

בנוסף על כך, כל מפעל יהיה חייב לגבש תכנית למניעת סכנה לציבור ולסביבה כתוצאה מאירוע סייבר. על בסיס הערכת הסיכונים במפעל, ייקבע לכל מערכת ממוחשבת במפעל סיווג, בהתאם לחומרים המסוכנים שקשורים אליה. המפעלים יידרשו להגיש את התכנית שגובשה לאישור המשרד להגנת הסביבה, והיא תאושר במסגרת הביקורת המקדימה שנעשית במפעל טרם מתן היתרי רעלים.

"אנחנו לא מוכנים לאיומים האלה - והם הולכים ומתגברים", אומר מנכ"ל המשרד להגנת הסביבה, ישראל דנציגר, בשיחה עם גלובס, ומזהיר: "מדובר באיומים שאינם פופולאריים ולכן עד עכשיו לא היתה השקעה של משאבים לקראתם".

תקיפות סייבר כלפי מתקנים תעשייתיים כבר אירעו במהלך השנים ברחבי העולם, אחת מהן, מתוקשרת במיוחד, כוונה ב-2010 נגד כור גרעיני באיראן באמצעות וירוס שנקרא סטוקסנט. התקיפה גרמה לשיבוש קריטי בתשתיות הכור, לסיבוב מהיר של הצנטריפוגות המשמשות לתהליך העשרת האורניום, ובשל כך להוצאתן מכלל שימוש.

תקיפה זו יוחסה בעבר לישראל ולארה"ב במסגרת מאמציהן לשבש את התקדמות איראן להשגת יכולות גרעיניות צבאיות.

מלבד תקיפה זו, במשרד להגנת הסביבה מונים עוד שורה של אירועי סייבר שהכו במקומות נוספים בעולם במשך השנים. לדוגמה,תקיפת מערכת הביוב באוסטרליה שגרמה להצפת שמורות טבע ולנזק סביבתי כבד, או הפגיעה ברשת החשמל במערב אוקראינה בסוף 2015. באותה תקיפה שובשה פעילותן של עשרות תחנות חשמל ושלוש תחנות כח, מה שגרם להפסקות חשמל נרחבות במדינה. תחקיר מקיף שנעשה בעקבות האירוע, העלה כי לא מדובר בהפסקת חשמל רגילה - אלא במתקפת סייבר.

המדינה מציתה לאט מדי

למרות פוטנציאל ההרס של פיגוע סייבר שיופנה כלפי מפעל גדול, המדינה מתנהלת בעצלתיים: ההחלטה על השתת הרגולציה החדשה על התעשייה התקבלה כבר בחודש פברואר 2015 בממשלה. מאז חלפו יותר מ-3 שנים, והשנה רק 60 מפעלים מבין אלפים יידרשו להטמיע מערכות הגנה מפני התקפת סייבר.

במשרד להגנת הסביבה הסבירו כי התקדמות בתהליך הזה הייתה כרוכה בהשלמת הליכי ההקמה של מערך הסייבר הלאומי, שהוא הגוף שאמון על הכתבת המדיניות בנושא למשרדי הממשלה: "הייתי שמח מאד אם הביצוע היה יותר מהיר", אמר מנכ"ל המשרד ישראל דנציגר והוסיף כי "עם זאת, אנחנו מתקדמים בנושא יפה מאד".

גורמים שונים במשרד התקשו להעריך את העלויות שיושתו על המפעלים בשל הדרישה מהם להטמיע מערכות חדשות להגנה מפני תקיפות סייבר. שם מציינים כי העלות המשרדית של ההיערכות לקראת השתת הרגולציה החדשה נאמדת בכמה מיליוני שקלים. לפי שעה, המדינה לא מתכוונת להשתתף בעלויות שיושתו על התעשייה כתוצאה מהתכנית הממשלתית להתאמת אמצעי הגנה למערכות היצור השונות. במשרד להגנת הסביבה אומרים שיעשו ככל יכולתם על-מנת להוריד את העלויות למינימום האפשרי, ולהשתמש במערכות שכבר קיימות במשרד מבלי לדרוש מהמפעלים רכש נוסף.

לרוב, מדובר על אמצעים שתפקידם ליצור הפרדה ברשתות הפנימיות שמפעילות את המערכות השונות במפעלים, ובכך להקטין את היקף הפגיעה בהם עקבות מתקפת רשת.

איום הסייבר על התעשייה נחשב לאיום מידי, כזה שאיש לא יכול להעריך את התממשותו זמן רב מראש. יתרה מכך, המתקפה עשויה להתגלות רק לאחר שהחדירה למערכות הבקרה ולמערכות ההפעלה של מתקן רגיש כבר בוצעה.

במשרד להגנת הסביבה טוענים כי אנשיו מתפרצים עם הרגולציה לדלת פתוחה - שכן גם לתעשיינים עצמם יש אינטרס להגן על המערכות שלהם מפני תקיפות רשת באופן שעשוי להביך אותם מול לקוחות, לפגוע בתדמית החברה, לחשוף את סודותיה לפני חברות מתחרות ולהסב נזק כספי משמעותי: "אנחנו פועלים בתיאום עם התאחדות התעשיינים בנושא הזה, ולתעשיינים זה חשוב בדיוק כמו שזה חשוב לנו", אמר מנכ"ל המשרד דנציגר.